Baixar - Unipar

IMPLANTAÇÃO DE FIREWALL: SEGURANÇA EM
REDES DE COMPUTADORES
Willian dos Santos Alécio¹, Júlio César Pereira¹
¹Universidade Paranaense (Unipar)
Paranavaí – PR – Brasil
[email protected]
[email protected]
Resumo. Tendo em vista a evolução da internet no mundo, torna-se necessário
investir na segurança da informação. Este artigo consiste na implementação e
comparação dos sistemas pfSense e Endian Firewall. Testes vem sendo
realizados com os firewalls, afim de explorar suas funcionalidades,
performance, acessibilidade, usabilidade a requisitos mínimos. Até o presente
momento a pesquisa se mostra promissora, ambos os sistemas são eficientes e
atende ao objetivo de prevenir uma rede de acesso indevido. É possível
afirmar que o pfSense possui recursos e suporte maiores que o Endian
Firewall, que por sua vez possui maior interatividade nas configurações.
1. Introdução
A expressiva evolução da Internet no mundo tem feito com que muitos crackers, piratas
virtuais, se aproveitem da ingenuidade dos usuários leigos invadindo sistemas, obtendo
números de cartões de crédito e quebrando a privacidade dos usuários. Devido ao
crescimento expressivo do número de dispositivos que usufruem de acesso à internet,
foi observada a necessidade de um estudo mais aprofundado a fim de valorizar a
informação, almejando meios de cercar as vulnerabilidades a que possamos estar
expostos.
O objetivo deste trabalho é implementar pfSense baseado em FreeBSD e Endian
Firewall baseado no Red Hat com o intuito de comparar estes sistemas nos critérios de
desempenho, performance, suporte, acessibilidade, usabilidade e requisitos mínimos,
auxiliando assim quem possa ter a necessidade em optar por uma das ferramentas como
gerencia de rede de sua empresa ou instituição.
2. Metodologia
Para este trabalho foi realizada uma vasta pesquisa bibliográfica em sites da internet,
livros, artigos científicos e listas de discussões do Linkedin. Então o passo seguinte foi a
leitura e entendimento do assunto, para a dissertação e desenvolvimento do trabalho.
Na parte prática foram configurados dois servidores: o pfSense e o Endian
Firewall, com algumas funcionalidades, dentre elas: filtragem de pacotes, controle de
acesso, onde será monitorado sites e visualização de logs em tempo real.
3. Desenvolvimento
3.1. Firewall
Firewall é uma combinação de software e hardware que bloqueia a entrada de intrusos
através de redes públicas [Gouveia; Magalhães, 2007].
O objetivo de um firewall é gerenciar as comunicações que ocorrem para dentro
e para fora de uma determinada rede [Carissimi, et al., 2009].
Um firewall segue as regras, diretrizes previamente configuradas pelo
administrador de rede que são chamadas de políticas de segurança. Ele normalmente é
instalado logo após o link da internet, a Figura 1 ilustra a maneira que o firewall pode
ser projetada antes da rede interna.
Figura 1: Firewall
Um firewall é qualquer dispositivo, software, arranjo ou equipamento que limita
o acesso à rede, isto é, pode até mesmo ser um modem ou roteador que incorpora filtro
de pacotes simples [Cheswick, et al., 2005]
Há pelo menos três tipos de firewall: filtro de pacotes, NAT e o proxy.
3.1.1. Firewall filtro de pacotes
Para Neto [2004], o firewall filtro de pacotes possui a capacidade de avaliar cabeçalhos
de pacotes enquanto eles trafegam na rede. Este é o mais tradicional e fica sob sua
responsabilidade filtrar todo o tráfego de entrada e saída da rede.
3.1.2. Firewall NAT
"NAT (Network Address Translation) é uma combinação de aplicação de gateway e
filtragem de pacotes para negar ou permitir acesso a portas individuais" [Gouveia;
Magalhães, 2007, p. 259].
Strebe e Perkins [2002], considera que o NAT de fato é um proxy fundamental:
um host exclusivo faz as solicitações em nome de todos os hosts internos. Em resumo o
firewall NAT pode manipular a rota padrão de pacotes que atravessam as interfaces do
roteador. Toda rede de internet recebe apenas um IP verdadeiro para conexão, o NAT
entretanto, para obter maiores números de conexões, trabalha de maneira a dar uma
sobrevida ao IPv4, conforme a Figura 2 ilustra o NAT traduz o IP (Internet Protocol)
interno para conversar com na mesma classe que o Web Server.
Figura 2: Firewall NAT
Fonte: Adaptado Mason (2011, p. 41).
Barbosa [2009], diz que há diversas maneiras que isso pode acontecer: pode
alocar estaticamente um ou dinamicamente um único o endereço IP para cada IP
interno, criar mapeamento de endereços ou mascarar (ocultar) os IP´s internos alterando
todos os computadores internos para o endereço, por exemplo, do firewall.
3.1.3. Proxy
"Os filtros de pacotes aceitam pacotes, os bloqueiam ou os encaminham a uma porta
diferente (possivelmente em outra máquina), para que um proxy trate deles" [Cheswick,
et al., 2005, p. 212].
"A NAT resolve muitos dos problemas associados com as conexões diretas via
internet, mas ainda não restringe completamente o fluxo de datagramas por meio do
firewall" [Strebe; Perkins, 2005, p. 10].
É possível fazer um paralelo e dizer que não basta ter um firewall NAT, ou
somente um firewall de filtragem de pacotes, surgiram então os proxies.
Um firewall proxy bem sofisticado é capaz de auxiliar na tomada de decisões de
filtragem com base nas informações das camadas de pacote e transporte.
Os firewalls, a exemplo o pfSense ou Endian, podem implementar proxies que
interceptam solicitações para um programa proxy. O cliente não precisa saber da
existência do proxy [Cheswick, et al., 2005]. Entretanto é claro que o administrador de
rede terá acesso a quem tentar burlar ou passar dos limites estipulados na política de
segurança desse sistema. Na Figura 3 é apresentado o exemplo de um proxy server
trabalhando em paralelo com o firewall.
Figura 3: Firewall proxy
Fonte: Adaptado Mason (2011, p. 6).
3.2. Endian Firewall
Endian é um sistema da categoria firewall, baseado em Red Hat (Linux), trabalha na
arquitetura i386 e tem origem italiana.
Conforme consta na página oficial da comunidade, Endian Firewall Community
[2014], a companhia Endian foi fundada em 2003 em Appiano, Itália, por uma equipe
de especialistas de rede experientes e entusiastas do Linux. O projeto teve seu
lançamento depois de dois anos, a primeira versão do dispositivo já estava pronto para
ser distribuído. Seguindo o modelo de código aberto, cujo pilar é a partilha diária de
desafios e resultados.
Há versões pagas do Endian, e há também appliance (aparelho de computador),
dispositivo fabricado pela comunidade já com o sistema embarcado, no entanto para
redes pequenas e para fins acadêmicos pode ser utilizada a versão grátis, que possibilita
configurar sites proibidos de navegar, limitações de usuários e download e etc.
A Figura 4 ilustra o a tela principal do servidor Endian Firewall, nesta imagem é
possível observar o gráfico do link utilizado, as interfaces de rede, utilização de
recursos, serviços e status do server.
Figura 4: Display Endian Firewall
3.3. PfSense
Para a comunidade brasileira pfSense este firewall é um software livre, licenciado sob
BSD license (a marca pfSense em si tem Copyright para o BSD Permiter), baseado no
sistema operacional FreeBSD e adaptado para assumir o papel de um firewall e/ou
roteador de redes. Além disso, ele possui atualmente dezenas de pacotes adicionais que
lhe permitem requisitar o posto de UTM, já que podemos realizar com o pfSense a
maioria das atividades que esperamos de sistemas deste porte [Laskoski, 2014].
O projeto pfSense foi concebido em meados de setembro de 2004 por Chris
Buechler e Scott Ullrich. Chris foi um colaborador assíduo de códigos por muito tempo
do projeto m0n0wall. O m0n0wall tem basicamente as mesmas pretensões técnicas do
pfSense, mas desde o seu surgimento até os dias de hoje, é focado em appliances.
Diferente do m0n0wall o pfSense sempre desejou agregar novos serviços tais como
VPN, autenticação de usuários, proxy, IDS e até supor a modems 3G [Laskoski, 2014].
A Figura 5 apresenta os serviços, interfaces de rede, versão, configurações de
rede como DNS e informações do disco rígido, CPU e do hardware do servidor
pfSense.
Figura 5: Display pfSense
4. Considerações Finais
O presente estudo ainda está em desenvolvimento e atualizações dos sistemas podem
acrescentar novas funcionalidades importantes para gerenciar as redes de computadores,
entretanto os resultados se mostram promissores e ambas as ferramentas utilizadas
proporcionaram uma estratégia de defesa para uma organização que visa evitar as
intrusões, bloquear acessos indesejados e controlar a banda de internet. Todavia, podese dizer que a estrutura do pfSense é mais robusta, funciona muito bem como firewall da
rede, suporta mais máquinas e em contrapartida possui dificuldade mais elevada nas
configurações, vale ressaltar que o mesmo é o sistema de defesa utilizado pelo Exército
Brasileiro. Por outro lado, o Endian Firewall apresenta-se útil para redes menores, de
pequenas empresas, suporta muito bem proxy-web, e para surpresa, possui o layout
muito intuitivo que torna a configuração mais simplificada.
5. Referências
Barbosa, A. N. (2006) Um sistema para análise ativa de comportamento de firewall.
2006. 120f. Dissertação (Mestrado em Sistemas Eletrônicos) - Ciência da Computação.
Escola Politécnica da Universidade de São Paulo, São Paulo.
Carissimi, A. S.; Rochol, J.; Granville, L. Z. (2009) Redes de computadores. Porto
Alegre: Bookman. cap. 8.
Cheswick, W. R.; Bevolin, S.M.; Rubin, A. D. (2005) Firewall e segurança na
internet: repelindo o hacker ardiloso. Tradução Edson Furmankiewicz. 2. ed. Porto
Alegre: Bookman. 400 p.
Endian Firewall Community. (2014) About Endian. Disponível em:
< http://goo.gl/LSNyw8>. Acesso em 07 maio. 2014, 17:20.
Gouveia, J.; Magalhães, A. (2007) Redes de computadores. 1. ed. Tradução e revisão
Jorge Luís Machado do Amaral e José Franco Machado do Amaral. Rio de Janeiro:
LTC. 264 p.
Laskoski, J. (2014) O que é pfSense. Disponível em:
< http://goo.gl/eIsL3L >. Acesso em: 02 maio. 2014, 13:28.
Mason, A. G. (2011) CCNP security firewall 642-617 quick reference. Indianapolis USA: Cisco Press.
Neto, U. (2004) Dominando linux firewall iptables. Riachuelo: Ciências moderna. 98
p.